เชื่อมต่อกับเรา

Neatsun Ziv ผู้ร่วมก่อตั้งและซีอีโอของ OX Security – ซีรีส์สัมภาษณ์

บทสัมภาษณ์

Neatsun Ziv ผู้ร่วมก่อตั้งและซีอีโอของ OX Security – ซีรีส์สัมภาษณ์

mm
การตีพิมพ์
Lior Arzi ผู้ร่วมก่อตั้งและ CPO ของ OX Security (ซ้าย) และ Neatsun Ziv ผู้ร่วมก่อตั้งและ CEO (ขวา)

เนทซึน ซิฟผู้ร่วมก่อตั้งและซีอีโอของ OX Secuity เป็นผู้นำในการกำหนดนิยามใหม่ของความปลอดภัยในซัพพลายเชนซอฟต์แวร์สำหรับยุค DevSecOps ก่อนก่อตั้ง OX เขาเคยดำรงตำแหน่งรองประธานฝ่ายความปลอดภัยทางไซเบอร์ที่ Check Point โดยเป็นผู้นำโครงการระดับโลกและประสานงานการรับมือกับภัยคุกคามระดับสูงอย่างรวดเร็ว เช่น SolarWinds และ NotPetya ผลงานของเขามักทำให้เขาได้ร่วมงานโดยตรงกับอินเตอร์โพล CERT ระดับชาติ และหน่วยงานบังคับใช้กฎหมายอื่นๆ ในเหตุการณ์ทางไซเบอร์ที่สำคัญที่สุดในช่วงทศวรรษที่ผ่านมา

อ็อกซ์ซีเคียวริตี้ คือแพลตฟอร์มรักษาความปลอดภัยแอปพลิเคชันที่ออกแบบมาเพื่อตัดเสียงรบกวน ช่วยให้องค์กรต่างๆ มุ่งเน้นไปที่ความเสี่ยงเล็กๆ น้อยๆ ที่สำคัญอย่างแท้จริง แพลตฟอร์มนี้ใช้ประโยชน์จากการวิเคราะห์ความสามารถในการใช้ประโยชน์ ความสามารถในการเข้าถึง และผลกระทบทางธุรกิจ เพื่อจัดลำดับความสำคัญตามหลักฐานตลอดวงจรการพัฒนาซอฟต์แวร์ ด้วยการครอบคลุมตั้งแต่โค้ดไปจนถึงคลาวด์อย่างเต็มรูปแบบ การผสานรวมมากกว่า 100 รายการ และเวิร์กโฟลว์แบบไม่ต้องเขียนโค้ด OX จึงผสานรวมการแก้ไขปัญหาแบบมีคำแนะนำเข้ากับเวิร์กโฟลว์ของนักพัฒนาโดยตรง ช่วยให้มั่นใจได้ว่ามาตรการรักษาความปลอดภัยจะมีประสิทธิภาพและราบรื่น

ก่อนที่จะร่วมก่อตั้ง OX Security คุณได้เป็นผู้นำในการรับมือกับเหตุการณ์สำคัญที่ Check Point อะไรทำให้คุณตัดสินใจว่าถึงเวลาแล้วที่จะเริ่มต้นบริษัทของคุณเอง และคุณมองเห็นช่องว่างอะไรในแวดวงความปลอดภัยของแอปพลิเคชัน

การทำงานที่ Check Point ทำให้ผมได้สัมผัสกับ “Corporate Velocity Gap” หรือช่องว่างความเร็วขององค์กร ซึ่งหมายถึงการที่องค์กรรักษาความปลอดภัยแบบดั้งเดิมมีการเคลื่อนไหวที่ช้าลง นอกจากนี้ ผมยังเห็นว่าทีมรักษาความปลอดภัยยังขาดประสิทธิภาพในหลายๆ ด้าน โดยเฉพาะอย่างยิ่งเมื่อต้องจัดลำดับความสำคัญของความเสี่ยงอย่างถูกต้อง

ในขณะเดียวกัน ผมก็ตระหนักว่า AI เชิงสร้างสรรค์ (ซึ่งในขณะนั้นยังพัฒนาไม่เต็มที่) สะท้อนถึงอนาคตของการพัฒนาเครื่องมือรักษาความปลอดภัย และแน่นอนว่ามันก้าวหน้าอย่างรวดเร็ว มีการเปลี่ยนแปลงสำคัญหลายอย่างเกิดขึ้นพร้อมกัน:

การเร่งความเร็วของผู้ก่อภัยคุกคาม: ผู้โจมตีกำลังนำเทคโนโลยีและเทคนิคใหม่ๆ มาใช้อย่างรวดเร็ว โดยเคลื่อนไหวเร็วกว่าที่โซลูชันด้านความปลอดภัยจะตามทัน

ปรากฏการณ์ "Vibe Coding": ในเวลานั้นยังไม่มีคำนี้ แต่ฉันเห็นว่านักพัฒนาหันมาใช้เครื่องมือเขียนโค้ดด้วย AI เช่น Copilot มากขึ้น ซึ่งทำให้เกิดการเปลี่ยนแปลงพื้นฐานในการสร้างซอฟต์แวร์ และนำข้อควรพิจารณาด้านความปลอดภัยใหม่ๆ มาใช้

วิวัฒนาการของการโจมตีห่วงโซ่อุปทาน: การเพิ่มขึ้นอย่างรวดเร็วของการโจมตีห่วงโซ่อุปทานของซอฟต์แวร์ทำให้มีความต้องการอย่างเร่งด่วนสำหรับแนวทางใหม่ในการรักษาความปลอดภัยแอปพลิเคชันที่เครื่องมือที่มีอยู่ไม่ได้กล่าวถึง

การปรับปรุงเล็กๆ น้อยๆ ภายในโครงสร้างองค์กรที่มีอยู่ไม่เพียงพอที่จะแก้ไขความท้าทายที่เปลี่ยนแปลงอย่างรวดเร็วเหล่านี้

สิ่งที่ฉันตระหนักได้ในที่สุดคือภัยคุกคามกำลังแพร่กระจายอย่างรวดเร็วเข้าสู่โค้ด และความปลอดภัยก็ต้องตามมาด้วย เราต้องก้าวข้ามจากเฟรมเวิร์กที่คุ้นเคย และเริ่มวิ่งเข้าสู่การแข่งขันความเร็วแบบใหม่

ภารกิจหลักของ OX คือการช่วยให้นักพัฒนามุ่งเน้นไปที่ช่องโหว่ 5% ที่มีความสำคัญจริงๆ ข้อมูลเชิงลึกนั้นชัดเจนขึ้นสำหรับคุณเมื่อใด และมีอิทธิพลต่อการตัดสินใจเกี่ยวกับผลิตภัณฑ์ในปัจจุบันอย่างไร

หลังจากบริหารจัดการทีมพัฒนาขนาดใหญ่พอสมควร ผมจึงได้เห็นว่าปัญหาด้านความปลอดภัยจำนวนมหาศาลนั้นหนักหนาสาหัสเพียงใด คุณจำเป็นต้องเข้าใจว่าอะไรสำคัญและอะไรไม่สำคัญ การตรวจสอบรายการต่างๆ มากมายไม่ได้ช่วยให้บริษัทลดความเสี่ยงลงได้ แต่กลับสร้างความหงุดหงิดและอาจทำให้บริษัทมองข้ามการลดความเสี่ยงไป เพราะนั่นเป็นการสิ้นเปลืองเวลาและทรัพยากรไปมาก

สิ่งนี้สอนให้เรารู้ว่าเราต้องช่วยให้นักพัฒนามุ่งเน้นไปที่สิ่งที่สำคัญอย่างแท้จริง แล้วอธิบายให้พวกเขาฟังว่าทำไมมันจึงสำคัญ หลังจากนั้น เราต้องแสดงให้พวกเขาเห็นถึงวิธีแก้ปัญหาอย่างง่ายดาย หรือที่ดีกว่านั้นคือ แก้ปัญหาให้พวกเขา ซึ่งตอนนี้สามารถทำได้แล้วด้วยเครื่องมือต่างๆ เช่น เอเจนท์ อ็อกซ์.

ข้อมูลเชิงลึกนี้กลายเป็นรากฐานที่เราสร้างบริษัทขึ้นมา และเป็นสิ่งที่ชี้นำการตัดสินใจเกี่ยวกับผลิตภัณฑ์ทั้งหมดของเราในปัจจุบัน ทุกฟีเจอร์ ทุกความสามารถที่เราพัฒนา ล้วนเริ่มต้นจากคำถามที่ว่า “สิ่งนี้ช่วยให้นักพัฒนามุ่งเน้นไปที่สิ่งที่สำคัญจริงๆ หรือไม่? สิ่งนี้ช่วยลดความเสี่ยงได้หรือไม่?”

แพลตฟอร์มนี้มุ่งเน้นไปที่ "Code Projection" เพื่อจัดทำแผนที่ความเสี่ยงทั่วทั้ง SDLC คุณช่วยอธิบายได้ไหมว่าเทคโนโลยีนี้ทำงานอย่างไร และอะไรที่ทำให้มันแตกต่างจากเครื่องมือจัดการช่องโหว่อื่นๆ

โดยพื้นฐานแล้ว Code Projection คือเทคโนโลยีที่มองเห็นปัญหาในโค้ด และรู้ล่วงหน้าว่าโค้ดจะมีลักษณะอย่างไรเมื่อโค้ดนั้นเข้าถึงคลาวด์ วิธีนี้ช่วยให้คุณแก้ไขปัญหาได้ตั้งแต่เนิ่นๆ ก่อนที่จะเริ่มใช้งานจริง ซึ่งก็คือเมื่อความเสี่ยงได้เกิดขึ้นแล้ว

มันทำงานโดยการเข้าใจว่าโค้ดทุกชิ้นมีกระบวนการสร้างและนำมันขึ้นสู่คลาวด์ นั่นคือ CI/CD เราสามารถอ่านโค้ดและตีความความหมายของมันได้ ยกตัวอย่างเช่น สิ่งที่ถูกเปิดเผยบนอินเทอร์เน็ตย่อมมีความหมายที่แตกต่างจากสิ่งที่ไม่ได้เปิดเผยอย่างชัดเจน

ความแตกต่างที่สำคัญจากผลิตภัณฑ์อื่นๆ คือ เครื่องมือส่วนใหญ่มักจะจบการทำงานด้วยปัญหามากมาย หากไม่สามารถมุ่งเน้นไปที่ความเสี่ยงที่สำคัญจริงๆ เพียง 5% หรือน้อยกว่านั้น แล้วกรองความเสี่ยงเหล่านี้ออกไป คุณก็จะได้กรอบเวลาที่แทบจะไม่เกี่ยวข้องเลย นอกจากนี้ คุณยังไม่รู้ว่าควรมอบหมายปัญหาให้กับนักพัฒนาคนใดอีกด้วย

แนวทางของเราเปลี่ยนแปลงสิ่งนั้นโดยสิ้นเชิง – เราไม่เพียงแค่ระบุปัญหาเท่านั้น แต่เรายังจัดเตรียมบริบท การจัดลำดับความสำคัญ และความเป็นเจ้าของที่ชัดเจนอีกด้วย

คุณนำเสนอการผสานรวมแบบเต็มรูปแบบสำหรับเครื่องมือสแกน การจัดการความลับ SBOM การค้นหา SaaS และอื่นๆ อีกมากมาย อะไรคือความท้าทายทางเทคนิคที่ยากที่สุดในการผสานรวมสิ่งเหล่านี้ให้เป็นประสบการณ์นักพัฒนาที่ราบรื่น?

ปัญหาที่ยากที่สุดคือการแปลงข้อมูลให้เป็นข้อมูลเชิงลึก ข้อมูลคือทุกสิ่งทุกอย่างที่คุณเพิ่งกล่าวถึง แต่นักพัฒนาต้องการความชัดเจน จุดสำคัญ และเหตุผล การสื่อสารที่มุ่งเน้น การเปลี่ยนข้อมูลมหาศาลให้เป็นข้อมูลเชิงลึกที่นำไปปฏิบัติได้จริง ถือเป็นความท้าทายที่ยิ่งใหญ่ที่สุดในอุตสาหกรรม

การสังเคราะห์ข้อมูลในลักษณะที่บอกเล่าเรื่องราวที่มีความสอดคล้องกันและให้การดำเนินการที่ชัดเจนและมีลำดับความสำคัญที่นักพัฒนาสามารถดำเนินการได้จริง ถือเป็นความท้าทายที่ยิ่งใหญ่ที่สุด

PBOM (Pipeline Bill of Materials) คือนวัตกรรม OX แตกต่างจาก SBOM อย่างไร และเหตุใดจึงจำเป็นต่อการสร้างความมั่นคงให้กับซัพพลายเชนซอฟต์แวร์สมัยใหม่

PBOM คือความสามารถในการตรวจสอบทุกสิ่งที่เกิดขึ้นกับซอฟต์แวร์ตั้งแต่เริ่มต้นเขียนไปจนถึงการใช้งานจริง SBOM เป็นส่วนประกอบหนึ่งภายใน SBOM ทำหน้าที่ตรวจสอบแพ็คเกจซอฟต์แวร์ทั้งหมดที่อยู่ในแอปพลิเคชัน

เพื่อตอบคำถามก่อนหน้านี้ PBOM คือรากฐานที่ช่วยให้เราเปลี่ยนข้อมูลให้เป็นข้อมูลเชิงลึกได้ เพราะมันมองภาพรวมได้กว้างกว่ามาก นั่นคือข้อมูลทั้งหมด PBOM บันทึกทุกขั้นตอนและการเปลี่ยนแปลงโค้ดทั้งหมด ไม่ใช่แค่ส่วนประกอบสุดท้าย

มุมมองที่ครอบคลุมนี้มีความจำเป็น เนื่องจากเครื่องมือความปลอดภัยแบบดั้งเดิมจะเห็นเฉพาะผลลัพธ์สุดท้ายเท่านั้น โดยมองข้ามการโจมตีที่สำคัญ เช่น เครื่องมือสร้างที่ถูกบุกรุก คอมมิตที่เป็นอันตราย หรือการจัดการไปป์ไลน์ที่เกิดขึ้นระหว่างการพัฒนาและการปรับใช้

OX เพิ่งเปิดตัว Agent OX ซึ่งเป็นสถาปัตยกรรมแบบหลายเอเจนต์ใหม่ที่แต่ละโมเดล AI จะมุ่งเน้นไปที่ช่องโหว่และภาษาโปรแกรมเฉพาะเจาะจง อะไรคือปัจจัยที่ผลักดันการตัดสินใจออกแบบนี้ และเราจะมั่นใจได้อย่างไรว่าแนวทางแก้ไขที่เสนอนั้นสามารถอธิบายได้และเชื่อถือได้ในทางปฏิบัติ

เราสร้างแนวทางแบบหลายเอเจนต์นี้ขึ้นโดยศึกษาว่ามนุษย์พัฒนาความเชี่ยวชาญได้อย่างไร และนำหลักการเดียวกันนี้มาประยุกต์ใช้กับ AI การจะเป็นผู้เชี่ยวชาญในสิ่งใดสิ่งหนึ่ง นักพัฒนาจำเป็นต้องมีความเชี่ยวชาญในภาษา สถาปัตยกรรมเฉพาะ และองค์กรเฉพาะ นักพัฒนาเพียงคนเดียวไม่สามารถแก้ไขปัญหาทั้งหมดได้ และด้วยเหตุผลเดียวกัน เอเจนต์ AI เพียงตัวเดียวก็ไม่สามารถเข้าถึงความเชี่ยวชาญระดับนั้นได้เช่นกัน นอกจากนี้ คุณยังต้องการเอเจนต์ที่สามารถจัดการด้านการรับรองคุณภาพได้อีกด้วย

ดังนั้นตัวแทนแต่ละคนจึงพัฒนาความเชี่ยวชาญเชิงลึกในโดเมนเฉพาะของตน เช่นเดียวกับผู้เชี่ยวชาญที่เป็นมนุษย์ทำ

เพื่อความน่าเชื่อถือและสามารถอธิบายได้ ตัวแทนแต่ละตัวไม่เพียงแต่เสนอวิธีแก้ไขเท่านั้น แต่ยังอธิบายเหตุผล แสดงวิธีแก้ไข และช่วยให้นักพัฒนาเข้าใจได้อย่างชัดเจนว่าเหตุใดจึงเลือกโซลูชันนั้นๆ

อะไรทำให้คุณมุ่งเน้นไปที่การแก้ไขปัญหาด้วยการคลิกเพียงครั้งเดียวโดยตรงภายในเวิร์กโฟลว์ของนักพัฒนา และคุณมั่นใจได้อย่างไรว่านักพัฒนายังคงควบคุมได้และไม่พบผลข้างเคียงที่ไม่พึงประสงค์

แนวคิดหลักคือการลดปัญหาและปรับปรุงการแก้ไขด้านความปลอดภัย เราให้สิทธิ์นักพัฒนาอย่างเต็มที่ในการตรวจสอบและตรวจสอบความถูกต้องของการแก้ไขที่เสนอก่อนที่จะยอมรับ

กุญแจสำคัญคือ "คลิกเดียว" ไม่ได้หมายถึง "อัตโนมัติ" แต่หมายถึงการทำงานที่คล่องตัว นักพัฒนาสามารถเห็นได้อย่างชัดเจนว่าจะต้องเปลี่ยนแปลงอะไรบ้าง เข้าใจสาเหตุ ตรวจสอบโซลูชันที่เสนอ แล้วจึงเลือกใช้โซลูชันนั้นได้ในครั้งเดียว การควบคุมและการตัดสินใจยังคงอยู่ที่ตัวพวกเขาเอง แต่เราขจัดงานค้นคว้าและแก้ไขปัญหาด้วยตนเองที่น่าเบื่อหน่าย

คุณนับ Microsoft, IBM และ SoFi เป็นลูกค้าของคุณ ความสัมพันธ์ระหว่างองค์กรเหล่านี้มีผลต่อแผนงานและกระบวนการให้ข้อเสนอแนะสำหรับเครื่องมืออย่าง Agent OX ของคุณอย่างไร

เราทำงานร่วมกับลูกค้าหลายร้อยราย และหลายสิบรายต่างแบ่งปันความท้าทายที่พวกเขาเผชิญอย่างเปิดเผย การพูดคุยอย่างลึกซึ้งเกี่ยวกับแผนงานและรูปแบบการออกแบบเหล่านี้คือรากฐานสำคัญที่ช่วยให้เราปรับปรุงโซลูชันที่นำเสนอได้ เราให้ความสำคัญอย่างยิ่งต่อความสัมพันธ์ที่เรามีกับลูกค้า และมองว่าลูกค้าคือสิ่งสำคัญที่สุดสำหรับเราในฐานะบริษัท ซึ่งเป็นแนวทางในการทำความเข้าใจความต้องการในโลกแห่งความเป็นจริงและสร้างสรรค์โซลูชันเพื่อแก้ไขปัญหาเหล่านั้น

เมื่อเครื่องมือรักษาความปลอดภัย AI เริ่มเป็นกระแสหลักมากขึ้น เราจะสร้างสมดุลระหว่างการทำงานอัตโนมัติกับความไว้วางใจและการควบคุมของนักพัฒนาได้อย่างไร? เราจะขีดเส้นแบ่งระหว่างการช่วยเหลือและการทำงานอัตโนมัติไว้ตรงไหน?

อย่างที่เราเห็นในการปฏิวัติครั้งก่อนๆ ผู้ที่ไม่กระโดดเข้าร่วมย่อมไม่รอด เราเริ่มเห็นองค์กรที่เราร่วมงานด้วยย้ายทรัพยากรทั้งหมดไปที่การนำ AI มาใช้ เพราะพวกเขาเข้าใจว่าเรากำลังเห็นการปฏิวัติ

ลูกค้าเหล่านี้คือลูกค้าที่ร่วมมือร่วมใจกันมากที่สุดของเรา เพราะพวกเขากำลังเผชิญกับความตึงเครียดครั้งใหม่ที่ไม่เคยเกิดขึ้นมาก่อน นักพัฒนาของพวกเขาจำเป็นต้องพัฒนาเครื่องมือ AI ให้รวดเร็ว แต่ก็กังวลว่าจะสูญเสียการควบคุม พวกเขายินดียอมรับความเสี่ยงและการสูญเสียการควบคุมชั่วคราวเพื่อให้ได้เปรียบในการแข่งขัน แต่พวกเขาต้องการให้เราช่วยสร้างความไว้วางใจให้พวกเขาอีกครั้ง หน้าที่ของเราคือการมอบความเร็วที่พวกเขาต้องการ พร้อมกับสร้างความเชื่อมั่นในกระบวนการนี้ขึ้นมาใหม่

คุณเพิ่งปิด Series B มูลค่า 60 ล้านเหรียญสหรัฐฯ เงินทุนนี้จะช่วยเร่งการเติบโตในระยะต่อไปของ OX ได้อย่างไร ไม่ว่าจะเป็นด้านเทคโนโลยี การเข้าสู่ตลาด หรือการขยายธุรกิจไปยังต่างประเทศ

แหล่งเงินทุนใหม่นี้มีพื้นฐานเพื่อการขยายตัว และจะช่วยให้เราเพิ่มขีดความสามารถในการระบุความเสี่ยงที่เกิดจากโค้ดที่สร้างโดย AI ซึ่งขณะนี้เราเริ่มเห็นจากการเปิดตัว Agent OX

ขณะนี้เรากำลังวิเคราะห์โค้ดมากกว่า 100 ล้านบรรทัดต่อวันให้กับลูกค้าที่ชำระเงินมากกว่า 200 ราย เงินทุนนี้ทำให้เราสามารถขยายผลกระทบดังกล่าวไปทั่วโลกได้ ขณะเดียวกันก็ยังคงมุ่งเน้นไปที่คำถามหลักๆ ที่เป็นแนวทางให้เราเสมอมา นั่นคือ "สิ่งนี้ช่วยให้นักพัฒนามุ่งเน้นไปที่สิ่งที่สำคัญหรือไม่? สิ่งนี้ช่วยลดความเสี่ยงได้หรือไม่?"

ขอบคุณสำหรับบทสัมภาษณ์ที่ดี ผู้อ่านที่ต้องการเรียนรู้เพิ่มเติมควรเยี่ยมชม อ็อกซ์ซีเคียวริตี้.

หัวข้อที่เกี่ยวข้อง:
mm

Antoine เป็นผู้นำที่มีวิสัยทัศน์และเป็นหุ้นส่วนผู้ก่อตั้ง Unite.AI ซึ่งขับเคลื่อนโดยความมุ่งมั่นอย่างไม่ลดละในการกำหนดและส่งเสริมอนาคตของ AI และหุ่นยนต์ ในฐานะผู้ประกอบการที่ประสบความสำเร็จอย่างต่อเนื่อง เขาเชื่อว่า AI จะสร้างความปั่นป่วนให้กับสังคมได้ไม่แพ้ไฟฟ้า และมักจะพูดถึงศักยภาพของเทคโนโลยีที่สร้างความปั่นป่วนและ AGI อยู่เสมอ

ในฐานะที่เป็น ผู้เป็นเจ้ายังมาไม่ถึงเขาอุทิศตนเพื่อสำรวจว่านวัตกรรมเหล่านี้จะหล่อหลอมโลกของเราอย่างไร นอกจากนี้ เขายังเป็นผู้ก่อตั้ง หลักทรัพย์.ioแพลตฟอร์มที่มุ่งเน้นการลงทุนในเทคโนโลยีล้ำสมัยที่กำลังนิยามอนาคตใหม่และปรับเปลี่ยนรูปลักษณ์ของภาคส่วนต่างๆ